av Roar Thon

Selvsagt er det ikke så enkelt. Det finnes mange tall og faktorer som bør være med i et slikt regnestykke. Men det i seg selv fremhever et viktig poeng når det gjelder sikkerhet. Sikkerhet betyr ikke det samme for alle. Det finnes ikke en type sikkerhet som passer alle.

Årsaken er at det eksisterer så mange forskjellige behov for sikkerhet. Alt kan føres tilbake til hvilke verdier som må beskyttes og hvilke trusselaktører er det som tiltrekkes av de verdiene. En virksomhet som utvikler og produserer våpensystemer, har et annet trusselbilde enn blomsterbutikken på hjørnet. Begge trenger grunnleggende sikkerhet, men utover det er trusselbildet helt annerledes, fordi verdiene som skapes tiltrekker seg forskjellige trusselaktører. Virksomhetenes evne til å bruke ressurser til å sikre seg, vil også være forskjellig.

Om blomsterbutikken mot formodning skulle hatt de samme ressursene som våpenprodusenten, ville det likevel vært misbruk av ressurser å bruke dem på sikkerhet. Fordi trusselen er annerledes.

MEN LA OSS TA REGNESTYKKET!

365+24,7

Hvordan kommer jeg frem til påstanden om at summen av sikkerhet er tallet 748,7? Først og fremst er det tallet 365 dager i året som burde være selvforklarende. Sikkerhet er en kontinuerlig prosess som aldri tar slutt.

For å presisere en slik tankegang ytterligere, er tallet 24,7 med i regnestykket. Det finnes ikke noe skille mellom arbeid og fritid. Sikkerhet er ikke bare noe du trenger i åpningstiden. Du trenger det 24 timer i døgnet, hele uken. Trusselaktørene tar ikke hensyn til om det er helg, eller om du er på ferie. Det kan faktisk tenkes at de utnytter det til sin fordel.

Så er det sikkert de som lurer på hvorfor 24,7 ikke uttrykkes som 24/7, slik at summen blir 3,42857? Det er for å understreke at veien frem til gode sikkerhetstiltak ikke er lik for alle. Sikkerhetstiltakene du trenger er ikke nødvendigvis de samme som andre virksomheters.

365+24.7+360

Tallet 360 er vesentlig. Uansett om du er våpenprodusent eller blomsterhandler. Sikkerhet er ikke bare en god lås på døren for å gjøre det vanskeligere å spasere rett inn for å stjele en av bedriftens datamaskiner. Du må også sikre digitale enheter slik at det blir vanskeligere å spasere rett inn digitalt. Du må ha fysisk sikkerhet, og du må ha digital sikkerhet. Men du må også ta med den menneskelige faktoren inn i formelen. Det hjelper ikke å ha verdens sikreste bærbare PC om du har to ansatte som sitter på flytoget og snakker høyt om det sensitive innholdet fra enheten, slik at 30 medpassasjerer hører det.

360 graders sikkerhet er nødvendig. Menneskelige, teknologiske, fysiske og prosessuelle tiltak som sees i helhet og som komplimenterer hverandre. 

365+24.7+360-1

Minus 1 representerer den negative side av mennesket. Uansett hva vi etablerer av sikkerhetstiltak vil vi som mennesker representere en risiko. Som mennesker gjør vi feil, eller vi begår forsettlige handlinger som svekker eller utfordrer sikkerheten.

365+24.7+360-1=748,7

I dette regnestykket er summen av sikkerhet 748,7. Men kostnadstallene for å etablere og drifte sikkerhetsarbeidet mangler. Heller ikke kostnaden når noe uønsket skjer.

Det er virksomhetene som selv må finne de riktige tallene. Hva har virksomheten behov for og råd til? Hva er kostnaden ved å miste sensitiv informasjon? Hva er kostnaden ved at noen stjeler virksomhetens materielle verdier? Hva er kostnaden dersom virksomheten ikke er i stand til å forske, produsere, selge, m.m. fordi alle digitale verktøy er under angrep, eller under andres kontroll? Kostnaden ved slike scenarioer er det virksomheten selv som kjenner best.

Det vil alltid eksistere risiko, men virksomheter kan gjøre tiltak for å redusere risikoen mest mulig. Noen av tiltakene er enkle, noen komplekse. Noen teknologiske, andre prosessuelle og de fleste er menneskelige.  Ikke glem at det er mennesker som lager teknologi, selger, kjøper, og tar i bruk teknologi.

Tenk helhetlig sikkerhet.

Lag ditt eget regnestykke. Men det er min påstand at du ikke kommer utenom tallene 365, 24,7, 360 og minus 1.

Hør diskusjonen om temaet i NSM-podcasten: